2009年02月23日 07時30分 UPDATE
特集/連載

社外にある情報のセキュリティを守るクラウドからの情報流出リスクに対処するには

クラウドコンピューティングにまつわる情報セキュリティ問題とは、よその社のネットワークにある情報の流出を心配するということだ。

[Joel Dubin,TechTarget]

 情報セキュリティのプロであるということは、頭痛との付き合い方を身に着けることでもある。社内ネットワークの情報セキュリティだけでも頭痛の種なのに、よそのネットワークにある情報のセキュリティ確保となるとさらに複雑だ。一言で言うと、ホスティングされたソフトウェア、つまりクラウドコンピューティング、あるいはサービスとしてのソフトウェア(SaaS)にまつわるセキュリティ問題とは、そういうことなのだ。

 SaaSは一見、外部委託の美化されたバージョンのように見える。特にクレジットカード処理などの場合、多くの企業がデータを外部の業者に送っているが、SaaSの場合は少し違う。外部の業者がソフトウェアをホスティングして、実装とインフラを管理しているのだ。ソフトウェアを購入してインストールする代わりに、企業はインターネットなどを経由してSaaSプロバイダーに接続する。SaaSは可用性、管理の容易さ、コスト削減といった理由からビジネス主導になるのが普通だ。

 知名度の高いSaaSプロバイダーにはGoogleやAmazon.comがあり、それぞれのネットワークを通じてアプリケーションをサービスとして提供している。ほかにも例を挙げるとSalesforce.comはCRMソフトウェアをオンラインで提供し、Qualysはセキュリティ監視と、PCI DSS(Payment Card Industry Data Security Standard)で定められた内容を含むすべてのスキャンをオンデマンドで提供している。

SaaSとコンプライアンス

 基本的に、企業が自分たちのネットワークで既に抱えているのと同じセキュリティ不安(ネットワーク、ハードウェア、アプリケーション、データのセキュリティ確保)は、SaaSで情報をアウトソーシングしている企業にも当てはまる。しかしサーベンス・オクスリー(SOX)法、グラム・リーチブライリー(GLBA)法、HIPAA(医療保険の相互運用性と説明責任に関する法律)といった法規制や、PCI DSSといった業界基準のコンプライアンスが絡むと事は複雑になりかねない。

 SaaS以前、コンプライアンスの成功は尽きるところ、ユーザーの特定とアクセス権限の割り当て、重要データの特定とその保存場所および暗号化方法の決定、それらすべてを監査と法令順守のために文書化するという小数の業務が鍵だった。しかし、SaaSでこうしたプロセスが複雑になった。理論的に、企業は自社のデータを完全にコントロールしているはずだが、実際にはSaaSプロバイダーやそのプロバイダーのパートナーがコントロールしているネットワークのどこに自社のデータがあるのか、顧客企業が把握するのは難しいこともある。

SaaSとPCI DSSの管理

ITmedia マーケティング新着記事

news007.jpg

電通デジタル、日本企業のデジタルトランスフォーメーション&デジタルマーケティングに関する調査を実施
電通デジタルが実施した「デジタルトランスフォーメーションとデジタルマーケティングの...

news048.jpg

Facebook活用で地方創生、神戸市の取り組みで見えた成果と課題とは?
フェイスブック ジャパンと神戸市が2018年7月に提携した「地域経済・地域コミュニティ活...

news035.jpg

スパイスボックスがAIを活用したフォロワー獲得サービス、ブランドと親和性の高いユーザーに「いいね!返し」
スパイスボックスは、AIスタートアップ企業AIQが蓄積するInstagram約700万アカウントのプ...